방화벽이란?
Firewall이라고도 불리는 방화벽은 미리 정의된 보안 규칙에 기반해, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템이다.
신뢰할 수 있는 내부 네트워크와 신뢰할 수 없는 외부 네트워크 간의 장벽을 구성해, 서로 다른 네트워크를 지나는 데이터를 허용 및 거부, 검열, 수정 하는 기능을 갖춘 소프트웨어나 그런 소프트웨어를 구동시키는 하드웨어 장치를 뜻한다.
방화벽의 역할
1. 취약한 서비스로부터의 보호
- 비인가된 서비스를 필터링하여 선택된 프로토콜만 방화벽 통과 가능하다.
2. 집중된 보안
- 많은 호스트로 다양한 소프트웨어를 분산하지 않고 방화벽상에 집중적으로 탑재한다.
3. 비밀성 향상
- 침입차단시스템의 보안 설정을 통해 확장된 개인정보보호 기능을 수행한다.
- 로그인 정보를 얻을 수 있는 Finger 명령어, 사이트 이름, IP 주소를 알려 주는 DNS 서비스를 차단해 개인 시스템 사용 정보 등을 보호한다.
방화벽의 기능
1. 접근 통제 (Access Control)
- 허용된 서비스나 공개정보 서버, 전자우편 서버 등 특정 호스트를 제외하고는, 외부에서 내부 네트워크로 접속하는 것을
패킷 필터링,프록시방식 등을 통해 통제하는 기능이다.
*패킷 필터링? 내부 네트워크로 접근하는 패킷의 IP, Port 등을 검열해 내부, 외부 네트워크에 대한 접근을 통제함.
2. 인증 (Authentication)
- 메세지 인증: VPN과 같이
신뢰할 수 있는 통신선을 통해 전송되는 메세지의 신뢰성 보장한다. - 사용자 인증: 방화벽을 지나가는 트래픽에 대한
사용자가 누군지에 대해 증명하는 기능 (OTP, 토큰 기반 인증, 패스워드 인증 등) - 클라이언트 인증: 모바일 사용자처럼 특수한 경우에 접속을 요구하는 호스트 자체에 대해
인가된 호스트인지 확인한다.
3. 감사 및 로그 기능 (Auditing / Logging)
- 정책 설정 및 변경, 관리자 접근, 네트워크 트래픽 허용 또는 차단과 관련한 사항 등
접속 정보를 로그로남긴다.
4. 프라이버시 보호 (Privacy Protection)
- 이중DNS(Dual Domain Name System), 프록시 기능, NAT(Network Address Translation) 기능 등을 제공하며
내부 네트워크와 외부 네트워크 간의 중개자 역할을 함으로써 내부 네트워크의 정보 유출을 방지한다.
5. 서비스 통제 (Service Control)
- 안전하지 못하거나
위험성이 존재하는 서비스를 필터링함으로써 내부 네트워크의 호스트가 가지고 있는 취약점을 감소한다.
6. 데이터 암호화 (Data Encryption)
방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화해서 보내는 것으로, 보통 VPN의 기능 이용한다.
방화벽의 한계점
1. 악성 소프트웨어 침투 방어에 대한 한계
일반적으로 방화벽은 패킷의 IP 주소와 포트 번호로 접근 제어를 하기 때문에, 바이러스, 웜, XSS 코드와 같이 문서 또는 프로그램 내부에 포함된 악성 소프트웨어를 탐지하여 방어하는 데에 한계가 있다.
2. 악의적인 내부 사용자의 공격에 대한 한계
내부 사용자가 방화벽을 통과하는 통신 선로가 아닌 무선(셀룰러)이나 사설 통신 선로를 이용해 통신을 한다면 공격자는 방화벽을 우회하여 내부 네트워크로 접속할 수 있다. 내부자가 이를 악용하면 막을 수 있는 방법이 없다.
3. 새로운 형태의 공격에 대한 한계
방화벽은 예측된 접속에 대한 규칙을 세우고 이에 대한 방어를 하기 때문에 새로운 형태의 공격에는 능동적으로 적용하기 어렵다.
방화벽 동작 방식
1. 패킷 필터링 (Packet Filtering)
가장 기초적인 방화벽 방식으로, 네트워크 계층(OSI Layer 3), 전송 계층(OSI Layer 4)에서 동작한다.- 데이터 링크 계층에서 네트워크 계층으로
전달되는 패킷을 가로채 해당 패킷 안의 IP 주소와 서비스 포트를 검색한 후, 정의된 보안 규칙에 따라 서비스의 접근 허용 여부를 결정한다. - 다른 방식에 비해
속도가 빠르다. - 비교적 낮은 레이어에서 동작하기 때문에 기존 애플리케이션과 연동이 용이하다.
- 하드웨어에 의존적이지 않으나,
강력한 로깅 기능 및 사용자 인증을 기대하기는 어렵다. 패킷 내의 데이터를 활용한 공격 차단이 불가능하다.
2. 상태 추적 (Stateful Inspection)
- 2세대 방화벽,
패킷 필터링 방식의 내부 데이터를 이용한 공격 취약성을 보완한다. - 네트워크 계층에서 패킷을 처리하면서도 프로토콜의 상태 정보 테이블을 유지해,
프로토콜 특성에 따른 변화를 동적으로 대응해 주는 방화벽이다. - 기존 패킷 필터링 기능에
Session 추적 기능을 추가해 일련의 네트워크 서비스의 순서를 추적하고, 순서에 위배되는 패킷들은 모두 차단한다. - 모든 통신 채널에 대해 추적이 가능하며, UDP와 RPC 패킷 또한 추적이 가능하다.
- 상태 목록(State Table)에 DoS나 DDoS 공격으로 인한 거짓 정보가 가득차게 된다면 장비가 일시적으로 다운될 수 있다.
- 방화벽을 재구동하면, 현재 연결에 대한 모든 정보를 잃어버려 정당한 패킷에 대한 액세스 거부가 발생할 수 있다.
3. 어플리케이션 게이트웨이 (Application Gateway)
- 3세대 방화벽,
어플리케이션 계층(OSI Layer 7)까지 동작해 통과하는 패킷의 헤더 안의 Data 영역까지 체크하여 통제할 수 있다. 해당 서비스별로 프록시가 구동되어 각 서비스 요청에 대해 방화벽의 접근 규칙을 적용시키고 연결을 대신하는 역할을 수행한다.- 패킷 필터링보다
높은 보안 설정이 가능하며, 일회용 패스워드를 이용한 강력한 사용자 인증을 제공한다. - Session에 대한 정보를 추적할 수 있고, Content Security가 가능하다.
네트워크에 많은 부하를 주며, 하드웨어에 의존적이다.미리 정의된 어플리케이션만 수용 가능하기 때문에 다양하고 빠르게 발전하는 인터넷 어플리케이션에 대응하지 못한다.
- 서킷 게이트웨이 (Circuit Gateway)
세션 계층(OSI Layer 5)과 어플리케이션 계층(OSI Layer 7) 사이에서 접근 제어를 실시한다.- 사용자측 PC에는 방화벽의 대표 프록시와의 통신을 위한
수정된 클라이언트 프로그램이 필요하다.
- 수정된 클라이언트 프로그램이 설치된 사용자에 대해서는 별도의 인증 절차 없이 투명한 서비스를 제공한다.
- 단, 사용자들에게 수정된 클라이언트 프로그램을 배포하거나 사용 중인 어플리케이션을 수정해야 하는 번거로움이 있다. - 각 서비스별로 프록시가 존재하지 않고,
대표 프록시를 이용하므로어느 서비스 프로토콜도 방화벽을 적용시킬 수 있다.
5. 하이브리드
패킷 필터링 방식과 어플리케이션 방식을 혼합한 방식이다.- 어플리케이션 방식의 최대 단점인 다양한 응용 서비스의 수용을 패킷 필터링 방식으로 제공한다.
- 내부 보안 정책 및 어플리케이션 등에 맞춰
선택적인 보안 설정이 가능하다. - 여러 유형의 방화벽 특징을 보유하고 있어, 커버할 수 있는 범위가 크다.
관리가 복잡하며, 설치시 전문적인 네트워크 컨설팅이 필요하다.
